No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Ingenieria social

15/37
Recursos

Aportes 24

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

La ingeniería social está muy ligada al phishing y al vishing, aunque ciertamente no solo se reduce a ello. Digamos que la ingeniería social está más relacionada al contenido de la estrategia y las demás al método utilizado.

Mi caso
una vez recibí un correo de la Fiscalía solicitándome comparecer para una investigación, cuando abrí el correo me di cuenta que él remitente no era un correo oficial y tenía algunos errores ortográficos. Así que hice caso omiso y ahora estoy preso.

je, je, es broma, pero lo que sí es cierto es que se saben armar un buen escenario en donde el carácter de urgencia y el miedo son indispensables.

Una vez fui victima de un ataque de ingenieria social y realmente el trabajo que realizan para validar tu desconocimiento es muy fuerte, y usan esto para crear una confianza entre “usuario y cliente” y completar así su cometido, desafortunadamente yo me di cuenta tarde, pero esa experiencia me motivo para mejorar mi cultura de ciberseguridad.
La reflexión del final es clara desconfiemos siempre de todas las transacciones e interacciones que tenemos con personas desconocidas y mas aun si esto sucede en un ambiente virtual.

Ciber-Controles

  • Validación de origen: Descartar correos o contactos de dudosa procedencia.

  • 2FA o MFA: Fortalecer cuentas con doble o múltiple factor de autenticación ya que agrega un factor mas (independiente de usuario o contraseña) recibiendo un token por ejemplo de una aplicación como google autenticator.

  • Cultura en Ciberseguridad: Utilizar el sentido común y tener claro que “no todo lo que brilla es oro”.

El ciclo de vida

Un día me llego un SMS indicando que estaban intentando comprar criptomonedas por un valor x desde mi aplicacion bancaria, que si no era yo que ingresara al LINK del mensaje. Hice click en el enlace, yo ya estaba prevenido porque habia escuchhado de esta modalidad, el link me llevo a una pagina casi identica en la presentacion a la de mi entidad bancaria , pero con una diferencia casi imperceptible y era que en direccion de la WEB donde lo diriga el link habia un cero antes del nombre de la pagina. En esta pagina le indicaban que era necesario ingresar usuario y contraseña para validar que no era yo el que realizaba la transaccion. Innmediatamente capture el recorte de la pagina y del mensaje que me habia llegado y me dirigi a la estacion de policia para hacer la denuncia, pero desafortunadamente me dijeron que no estaba la persona que recibia las denuncias por delitos informaticos que si podia regresar en la jornada de la tarde a las 3 pm.
Yo creo que por eso los ciberdelincuentes la tienen tan facil, por que la justicia no esta preparada para hacerles frente.

Me parece muy interesante este curso y los conceptos base, ya que muchos usuarios / empresas cuando les llegan una clase de estos correos maliciosos como el de “FELICIDADES, Te has ganado un iphone” hacen todo lo que el atacante dice, gracias por la informacion!

yo como tal no he sido victima de ingenieria social pero a mi novia le mandaron un mail que pedian creo que eran 1000 dolares en btc y si no los pagaba iban a publicar sus fotos intimas.
parecia un mail generico y estaba redactado con un español muy basico. acto seguido se fue al trash can

Me gusta saber el detalle de este contenido.

Ingeniería Social: Consiste en el uso de técnicas psicológicas y habilidades sociales con el fin de manipular a una persona para que realice acciones específicas y lograr así una meta o beneficio. Engañan a los usuarios para obtener datos privados y confidenciales como fecha de nacimiento, dirección, contraseñas o información financiera, además, es usada para infectar los equipos informáticos con Malware y otros virus que ponen en riesgo la información.

Algunos de los ciberataques más comunes con el uso de esta técnica son:

  1. Phishing: La víctima recibe un correo electrónico procedente de una fuente aparentemente confiable. Es usado para suplir la identidad de organizaciones como bancos y transmitir mensajes de urgencia para que la víctima actúe rápido, sin sentarse a analizar la veracidad del mensaje.
  2. Spear phishing: Aquí los ciberdelincuentes se dirigen a empresas y personas específicas como gerentes, grandes empresarios o personas públicas.
  3. Vishing: Es de la línea del phishing, pero en este ataque los cibercriminales utilizan llamadas y mensajes de voz para hacer caer a las víctimas.
  4. Scareware: Es un Malware con el que los cibercriminales asustan a los usuarios para que visiten un sitio web infectado. El Scareware aparece principalmente en ventanas emergentes en las que se comunica cómo se puede eliminar un virus informático que aparentemente existe en el dispositivo.

Medidas para prevenir ataques con ingeniería social

  1. Tener cuidado con la información personal que se comparte.
  2. Ajustar la configuración del correo electrónico para evitar recibir correos que son spam.
  3. Tener una lista con los correos electrónicos legítimos de personas y organizaciones con las que se tiene relación.
  4. Desconfiar y dudar de los correos electrónicos y mensajes de texto en los que ofrecen una gran recompensa por una pequeña inversión.
  5. Si hay duda de la veracidad de un mensaje o el remitente es desconocido, verificar la información con una búsqueda rápida en internet o llamando a la entidad que supuestamente se está contactando.
  6. Tener políticas de seguridad estrictas para minimizar los riesgos y las posibilidades de ser atacadas, por ejemplo, política de contraseñas seguras.
  7. Fortalecer cuentas con doble o múltiple factor de autenticidad (2FA o MFA).

Ingeniería social, ciberataques más comunes y cómo prevenirlos
https://www.piranirisk.com/es/blog/ingenieria-social-ciberataques-y-prevencion?hs_amp=true&utm_term=&utm_campaign=Matriz+de+Riesgos+-+General+-+Julio+2022&utm_source=adwords&utm_medium=ppc&hsa_acc=9508207643&hsa_cam=17802451156&hsa_grp=138377008319&hsa_ad=611541611264&hsa_src=g&hsa_tgt=dsa-19959388920&hsa_kw=&hsa_mt=&hsa_net=adwords&hsa_ver=3&gad=1&gclid=Cj0KCQjwj_ajBhCqARIsAA37s0wfhp9p9HSH62ci-j-7InIsLStekJUsQGjtdaUXRYRnjGs3dAAfUpoaAlLoEALw_wcB

Gracias profe por explicar muy bien la ing social.

El factor que se utiliza en este método, es el convencimiento, reforzado con material creado adrede para ser más creíble, y hasta utilizando la ignorancia de la víctima. Aprenderemos a través de esta unidad, varias técnicas que tendremos que tener en cuenta para no precipitarse y entregar nuestros datos importantes en bandeja, tanto por querer “ayudar”, “cooperar” y “colaborar”. Nadie dice que sea malo, pero una de las mejores contramedidas para no ser víctima de este tipo de técnica, es ESTAR ATENTOS. Infosecurity Europe llevo a cabo una encuesta a trabajadores de oficinas en Londres, donde en un artículo publicado por ZDNet el 20 de abril de 2004, el estudio descubrió que las tres cuartas partes de los trabajadores encuestados están dispuestos a revelar su contraseña de acceso a la red a cambio de una barra de chocolate. Esto demuestra lo fácil que es acceder a las redes sin tocar una sola pieza. Al final del día, no importa cuánto de encriptación y tecnología de seguridad se haya puesto en práctica, una red nunca es completamente segura. Uno nunca puede deshacerse del eslabón más débil, el factor humano. No importa la tecnología utilizada como firewalls, redes privadas virtuales (VPN), o dispositivos de encriptación, si los empleados están dispuestos a dar acceso a los sistemas a cualquier persona que lo solicite.

¿Qué es la ingeniería social?
Es una técnica para disponer y obtener acceso a información vital, privilegiada y confidencial y/o recursos que podrían servir para un ataque diferente. Su mayor éxito se basa en la parte humana, a través del uso de factores como engaños,
persuasión e influencia. Suelen ser utilizados desde cualquier parte (local, remota), y con cualquier tecnología de uso (teléfono, celular, email, papel, etc). Puede estar dirigido a:
• Una organización objetivo
• A un determinado empleado/a
• A un determinado grupo de personas
• A un usuario en general
• Todo aquel que se encuentre relacionado con éstos.
El contacto realizado es hecho supuestamente por:
 Prestador/a de servicios.
 Conocido/a, amigo/a o pariente de alguien.
 Autoridad.
 Colega de otro sector o sucursal.
 Anónimo.
 Impersonalizado.
En tipo de modo:
Casualidad
Directo: consulta inocente y típica, firmar entrega de regalo, encuesta, completar planillas, etcétera.
Indirecto: involucrar a terceros ficticios o reales sin conocimiento.
Trampa directa e indirecta: envío de correo con material en DVD, suplantación de pendrive, etcétera.
Invasivo: acceso a recintos, irrupción dentro de oficina con o sin utilización de lockpicking, instalación de hardware espía (recolector o transmisor de datos, uso de Keylogger)
A través de los medios:
Cara a cara con protagonista: Mediante diálogo.
De carácter secundario: Como empleado de correo o cadetería.
E-mail: Todas las formas imaginables, algunas detalladas más adelante.
Teléfono, impersonal: Diálogo.
Fax: Enviando documentos con requerimientos de modificación de datos o con información sensible.
Medios y agentes combinados: el intruso envía un e-mail de un supuesto superior de una sucursal, avisando a la recepcionista de otra sucursal que en unos momentos va a pasar alguien a recoger un dato o determinada información para que se la tenga preparada.
Fin del acto:
Información: busca pequeñas pistas o datos para planificar el embate.
Acciones: busca generar determinadas acciones.
En una Prueba de Intrusión (Pentest) a menudo se pide realizar precisamente esto, emplear tácticas de ingeniería social para descubrir si los empleados están siguiendo las políticas internas y no revelar información sensible. Un ingeniero social es alguien que utiliza el engaño, la persuasión, y la influencia para obtener información que de otro modo no estará disponible. Existen dos tipos de ingeniería social:
• Basadas en la tecnología
• Basadas en Humanos
La ingeniería social basada en la tecnología, utiliza la tecnología para engañar a los usuarios en dar información sensible. Un ejemplo clásico de una tecnología basada en ataque es tener una ventana emergente en la computadora de un usuario y pedir su contraseña, como se demuestra en el ejemplo. Aquí el usuario es informado de que su sesión ha finalizado, y se le pedirá que introduzca su nombre de usuario y contraseña nuevamente. Después de que el usuario hace clic en el botón Enviar, el nombre de usuario y contraseña son enviadas al ordenador del intruso. El intruso puede utilizar esa información más adelante para acceder a la red de la víctima. En cambio, la ingeniería social basada en humanos no emplea la tecnología, sino que se hace en persona, o a través de una llamada telefónica. Ambas técnicas se basan en el comportamiento previsible del ser humano que quiere ayudar a otro ser humano. A través de una llamada por teléfono, un intruso podría solicitar directamente un usuario y una clave, previo reconocimiento y de acuerdo al escenario que tenga en el destino, de esa manera habría una posibilidad de que se lo pasen sin ningún inconveniente.

Una vez me enviaron un mensaje en telegram para invertir en criptomonedas, se presentaron como una empresa especialista en trading. Me enviaron todos sus brochure muy bien diseñados. Querían que invierta y que realizara el pago por paypal. Pero sin sabes que esta aplicando la validación de origen, googlee el número y la empresa y ya había reportes de personas estafadas.

Afortunadamente no fuimos victimas por que actuamos tal como lo describe, hicimos caso omiso a la amenaza y realizamos una actualización de seguridad y limpieza de computadores y dispositivos.
Gracias, buena contextualización de los conceptos.
gracias
Les recomiendo el curso de Platzi sobre Ingenieria Social <https://platzi.com/cursos/ingenieria-social/>
Saludos a todos recuerdo que hace un tiempo me llego un correo con eso de que tenian una contraseña mia, efectivamente era una contraseña vieja, la eventual amenaza, bla, bla, etc, etc, etc, pero lo gracioso fue que estaba por alla en spam cuando lo lei ya habia creo que la fecha limite de pago de la extorsion, si mal no recuerdo igual gracias a Dios no paso nada, se actualizo la contraseña le puse un 2fa y no me han vuelto a llegar, una que otra estafa muy obvia, pero del resto nah Gracias por la atencion prestada Nunca paren de aprender y que Dios los bendiga
Los ataques en el área financiera son un riesgo alto , en corto tiempo las personas dieron el salto a la billetera digital , por esta razón aún existen muchas personas clientes de la banca que no están familiarizados con la era digital y reciben correos con logos similares al de su entidad financiera y entregan su información sin validar el origen del correo electrónico . Grave error
Profesor viendo esta clase no puedo dejar de pensar en "Worldcoin: la nueva criptomoneda escanea el iris de sus usuarios" Como incentivan a la gente con "dinero" en forma de una nueva criptomoneda para sacarles toda la información. Me gustaría saber su opinión personal con respecto a esta noticia del noticiero DW. Fuente: <https://www.youtube.com/watch?v=8wEhQkwwlV0&ab_channel=DWEspa%C3%B1ol>

La ingeniería social es un conjunto de técnicas utilizadas por ciberdelincuentes para ejecutar delitos mediante la manipulación psicológica de las víctimas. El ciclo de vida incluye la investigación, el enganche y la ejecución del ataque, seguido del cierre de la interacción y la eliminación de evidencia. Para prevenir la ingeniería social, es importante validar el origen de los correos o contactos, fortalecer las cuentas con autenticación de doble o múltiple factor y fomentar una cultura de ciberseguridad basada en el sentido común.

Buena Explicacion

Enganche tambien se podria definir como "Raptor" o compatibilidad , lo cual es crucial, cuando se trata de establecer confianza en la comunicacion para la ingenieria social.